据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发29起较为突出的安全事件,危害程度评级为「高级」,涉及DeFi4起、钱包安全3起,交易所相关2起,勒索相关5起,事件15起等。
DeFi?安全
10月份共发生4起DeFi相关安全事件,具体如下:
1)10月11日,以太坊项目WLEO合约遭到黑客攻击,导致价值4.2万美元的资金被盗。黑客通过将向自己铸造WLEO,并将其换成以太坊,从去中心化交易所Uniswap的池中窃取了以太坊。
2)10月26日,有用户发现DeFi挖矿项目Harvest.finance被使用闪电贷功能实现了巨额套利。Harvest官方发推解释称,这次套利攻击起源于一笔巨额闪电贷,并通过多次操纵CurveyPool的价格,以套取fUSDT、fUSDC的价差进而获利。
3)加密钱包ZenGo的研究人员AlexManuskin透露,一个所谓基于以太坊网络的「yieldfarming平台」UniCats涉嫌从几个用户那里窃取了包括Uniswap的治理代币UNI在内的至少价值20万美元的加密资产。智能合约中的一个后门允许UniCats保留对用户代币的控制权,即使这些代币已经从用户池中撤出。而此前针对Bancor的攻击也使用了类似的漏洞。
ApeCoin社区关于促进社区治理的两项提案已获投票通过:4月27日消息,Snapshot页面显示,ApeCoin社区关于“制定工作组指南和治理工作组章程”的AIP-239提案和“创建社区话语促进团队”的AIP-240提案均已获投票通过。AIP-239提案旨在通过自治工作组来运营ApeCoinDAO,工作组是有意识的社区主导的基础设施,允许执行DAO批准的任务。工作组章程概述了工作组的任务,该任务必须与ApeCoinDAO的愿景和价值观保持一致。[2023/4/27 14:30:10]
4)yearn.finance披露一个新的闪电贷安全漏洞,该漏洞由安全研究员Wen-DingLi于10月29日通过Yearn的安全漏洞披露流程报告,团队在1.5个小时后将该漏洞移除。根据该披露,闪电贷攻击可能会给TUSD保险库资金带来安全危险,目前该问题已被修复,同时TUSD保险库已被停止部署资金。
PeckShield点评:随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
数字钱包安全
10月份共发生3起钱包安全事件:
1)硬件钱包制造商Ledger遭受了网络钓鱼攻击。一些用户收到了带有钓鱼软件的电子邮件,导致资金损失。此次黑客攻击可能与该公司在2020年7月的用户数据泄露事件有关。
PeckShield:go-ethdenver[.]com系钓鱼网站,或与Monkey Drainer黑客组织有关:2月20消息,据PeckShield监测数据显示,go-ethdenver[.]com 系钓鱼网站,该网站为假冒的 ETHDenver 网站,或与 Monkey Drainer 黑客组织有关。该钓鱼网站请求访问用户的资产和地址 0x6942 标记为 Fake_Phishing8210 的权限,请注意仔细分辨。[2023/2/20 12:17:20]
2)ZDNet一项调查显示,黑客通过引诱用户安装假软件更新,从比特币钱包Electrum的用户那里窃取了2200万美元。而该手法最高出现在2018年。而自两年前首次发现这种攻击以来,Electrum团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。
3)近日,网络犯罪情报公司HudsonRock首席技术官AlonGal发推表示,10月27日,自称「以太坊最成熟、规模最大的菠菜游戏」EtherCrash冷钱包被盗,损失约250万美元,疑似为内部人员所为。
PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
交易平台相关
10月份共发生2起交易平台相关安全事件:
1)10月16日,OKEx发布「暂停提币公告」称,近日该公司部分私钥负责人正在配合机关调查,目前正处于失联状态导致无法完成授权。有两位接近OKEx的消息人士表示,公告中「配合机关调查」的正是OKEx的创始人徐明星。其中一位人士还表示,徐明星至少一周前已经被带走,多日未在工作大群中现身。?
PeckShield:某黑客通过网络钓鱼盗取价值110万美元的加密货币:1月18日消息,PeckShield监测信息显示,某黑客通过网络钓鱼盗取价值110万美元的加密货币,并将盗取的资金集中在了四个地址(0x53d092开头、0x7415开头、0x84bf15开头、0x0E7c48开头)中。[2023/1/18 11:19:06]
2)imToken钱包用户报告DeFiSaverExchange交易所漏洞相关的账号流出了310,000DAI,早在今年6月20日DeFiSaver推特报道发现Exchange中的漏洞。为了保护用户资金,我们进行了一次白黑客攻击,将受影响的资金转移到只有原始所有者才能提取的智能合约中。
PeckShield点评:黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易平台作为套现通道的一部分。这无疑对各大数字资产交易平台的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。详情可访问www.coinholmes.com了解。
勒索相关
10月份共发生5起勒索相关安全事件:
1)意大利跨国能源巨头EnelGroup近日遭遇勒索软件攻击,其计算机网络感染了名为NetWalker的Windows勒索软件。据悉,NetWalker黑客公布了大约5TB被盗数据的截图,并威胁将在一周内公布第一批数据,从而迫使EnelGroup支付1234枚比特币。
2)10月28日消息,芬兰数万名接受心理治疗的患者的机密就医记录遭到黑客攻击,其中一些被泄露到网上。芬兰透露,有黑客侵入了私人公司Vastaamo的记录,该公司在芬兰各地运营着25家治疗中心。据报道,已有数千人向投诉此事。许多患者报告说,他们收到了要求支付200欧元比特币的电子邮件,以防止他们与治疗师讨论的内容被公之于众。
Yuga Labs:导致Etherscan深感抱歉,ApeCoin需考虑迁移到自己的链:金色财经报道,Yuga Labs 元宇宙项目 Otherside 铸币活动完成后,Yuga Labs 官方社交媒体发文称,Otherdeed 是一个高需求 NFT 收藏品,铸造规模前所未有,也因此带来一些挑战。作为史上规模最大的 NFT 铸造活动之一,导致 gas 费用上涨远远超出了人们的预期,以至于引发 Etherscan 崩溃,对此感到非常抱歉。很明显,ApeCoin 需要迁移到自己的链上才能满足网络可扩展性需求,Yuga Labs 鼓励 Ape DAO 开始朝这个方向思考。Yuga Labs 还表示,铸币活动需求令人难以置信,但由于以太坊网络瓶颈的问题,一些用户的交易可能失败了。对于那些受到影响的人,Yuga Labs 首先感谢参与并一起 BUIDL,后续会退还相关 gas 费用。[2022/5/1 2:43:41]
3)10月14日消息,近日,全国首个比特币勒索病开发者巨某,被江苏南通成功捕获。江苏省南通市当地通报称,犯罪嫌疑人巨某,作为多个比特币勒索病的制作者,已成功作案百余起,非法获取的比特币折合人民币500余万元。
4)近日,勒索软件攻击袭击了医疗软件公司eResearchTechnology,该公司为全球制药公司提供进行临床试验的工具,因而对包括施贵宝、阿斯利康、辉瑞和强生等公司进行的多个新冠研究项目造成潜在影响。
5)七国集团领导人星期二对勒索软件攻击的全球激增发出警告,称这种黑客技术对世界主要经济体的关键基础设施构成威胁。勒索软件会潜入并加密计算机网络,然后要求受害者支付赎金解锁他们的文件。七国集团的声明警告说:「犯罪分子经常要求用虚拟资产支付赎金,这一事实尤其令人担忧。」欧盟领导人表示,「虚拟资产」是黑客的途径。该声明呼吁更多国家实施金融行动特别工作组的虚拟资产保护措施。
OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息,OneSwap已9月6日顺利通过智能合约代码安全审计,此次审计工作由三家业内知名的安全公司慢雾科技,派盾PeckShield,成都链安完成。在审计过程中,三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作,以最大程度确保及时发现漏洞。
审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准,审计中发现的问题目前都已解决或正在解决中。
OneSwap是一个基于智能合约的完全去中心化的交易协议,在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可,可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息,Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]
PeckShield点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索。
其他事件
除上述之外,10?月份还发生了多起跑路事件值得警惕,例如:
1)Kusunose的用户在谷歌论坛上发帖称,其因在谷歌广告中发现的加密局损失了1.5万美元。据称,该名为Coindaq.io的可疑网站试图利用中国正在研究的数字人民币,声称用户可以在该平台存入资金参与数字人民币的销售。受害者表示,希望谷歌可以调查此事,并建立一个针对涉嫌的网页。
2)广州官方发布文称,10月3日,市民潘小姐到云埔派出所报案,称其9月份结识了一名「网友」,后被对方以投资数字货币为名诱导下载某虚假APP,先后投入共232万元人民币,目前已无法提现。黄埔紧急提醒,理性看待数字货币,如有疑问或发现被第一时间报警。
3)近日,长沙芙蓉区居民林某报警称,投资数字货币被320多万元。据悉,林某通过一微信群内的「老师」发送的网址链接下载了一个名为「AOC」的App,并注册了账户。林某先后分25次向对方提供的13个不同的银行账号转账共计327.39万余元,几天后App上显示其购买的数字货币暴跌80%。林某报警时,该App已无法登录,「老师」微信号也已因被封而失联。目前案件正在侦办中。
4)近日有用户访问Curve交易所网站时遭受钓鱼攻击,损失20枚比特币。据悉,团伙利用谷歌广告系统购买谷歌搜索广告,伪装成Curve交易所进行广告投放。由于google新广告计划,广告通常会显示在搜索第一名,因此造成不少用户上当受。降维安全实验室建议用户保持警惕,认真甄别消息来源,仔细辨别域名,避免造成资产损失。
5)10月12日,以太坊客户端Geth开发者Marius发推称,在以太坊的开发社区中出现了邮件钓鱼,具体而言是一个名为get-eth.com的网站,其显示可以下载最新的以太坊Geth客户端。而geth客户端的下载网址为geth.ethereum.org,或在github直接下载。
6)加密货币数据公司CoinGecko通过推特宣布遭遇DDOS攻击,并暂时加强安全措施,目前CoinGecko正在密切监视情况发展。官方正在努力修复,希望能够迅速恢复运行。
7)徐州市局日前成功侦破一起「CDBC数字货币」特大民族资产解冻类案件,抓获犯罪嫌疑人16名,扣押电脑、手机、银行卡60余件,冻结涉案资金150余万元,打出了省内侦办此类案件一次性逮捕人数最多的战绩。据悉,此团伙宣称「CDBC数字货币」是央行发行的第一批数字货币,100元1单,每人限制7单,将来会翻100倍、1000倍;目前,16名嫌疑人已全部移送检察机关起诉。
8)日前,河北黄骅成功打掉一个跨省电信犯罪团伙,抓获犯罪嫌疑人3名,涉案金额120余万元。据悉,该犯罪团伙使用一款投资APP采取利用虚拟货币买卖电子宠物的方式实施
9)P2P比特币市场Paxful在两个月内成功抵御了一系列严重的威胁,包括22万项网络机器人攻击和各种社会工程策略。Paxful表示,攻击者试图使用自动机器人以暴力方式闯入该项目用户的帐户。Paxful称,据报道,全球约四分之一的网络流量都是由机器人产生的,它们实际上是一些模拟真实设备动作的程序。
10)根据美国检察官周一发布的起诉书,俄罗斯国家网络黑客使用比特币来掩盖其与关键黑客活动「基础设施」的联系,例如服务器和域名。诉讼中提到了俄罗斯国家黑客团队的六名成员,他们涉嫌通过俄罗斯军事单位7445对公司、军队、政府和2018年冬季奥运会的数千名受害者进行了攻击。检察官还声称,他们应对2017年灾难性的「NotPetya」恶意软件攻击负责,该攻击造成了数十亿美元的损失。
11)日前浦东成功捣毁了一个虚拟货币投资窝点,抓获22名犯罪嫌疑人,案件涉案金额790万元。据悉,涉案的「HASTE」虚拟货币交易平台由犯罪嫌疑人吴某所创立的某科技有限公司的技术人员开发、维护,并将使用权限卖给了境外人员。该平台可以直接对平台内用户的虚拟币额度随意更改,并通过操盘「机器人」模拟调控虚拟币汇率走势。
12)近期市场上出现某些与AAX无关或未经AAX授权的第三方试图通过电子邮件,微信和电报等形式假冒AAX客户服务,并在线传播冒充AAX的虚假关联试图进行活动。
13)西班牙国家警察局的消息人士称,Arbistar2.0首席执行官SantiagoFuentes最终于10月22日被西班牙南部特内里费地区抓获并拘留。Fuentes被指控在一场比特币庞氏局中了近3.2万名投资者,价值近8.5亿欧元(约10亿美元)。
14)根据美国检察官周一发布的起诉书,俄罗斯国家网络黑客使用比特币来掩盖其与服务器和域名等关键黑客活动「基础设施」的联系。诉讼中提到了俄罗斯国家黑客团队的六名成员,他们涉嫌通过俄罗斯军事单位7445对公司、军队、运动、政府和2018年冬季奥运会的数千名受害者进行了攻击。
15)Yearn.Finance出现doppelganger局以诱访问者共享其加密货币钱包的私钥。局网站几乎可以复制原始yearn.finance网站的几乎所有方面,包括其设计,网站副本甚至域名。
PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
埃梅里塔资本现已加入Bytom的侧链节点竞选。埃梅里塔资本是一家位于旧金山的独立金融研究公司,专注于区块链技术和人工智能领域的研究。埃梅里塔资本于今年8月份和比原链基金会进行了首次沟通和交流.
1900/1/1 0:00:00BCH又又又要分叉了。 11月15日,BCH网络预计将进行一次硬分叉,主导此次分叉的两个阵营分别是BitcoinCashABC和BitcoinCashNode。在分叉前持有BCH的用户,可能会得到两种新的资产.
1900/1/1 0:00:00来源:上海证券报 记者昨日从第六届区块链国际论坛上获悉,国家级区块链标准正在制定过程中。由中国电子技术标准化研究院主导的《信息技术区块链和分布式记账技术参考架构》国家标准完成上海征求意见会议,即将正式报批.
1900/1/1 0:00:00在牛市中,大多数创始人最大的问题之一就是:我是否做错了什么?看起来只要有一个“.finance”的域名,就会有钱从天上掉下来,而许多建立在健全经济学基础上的创始人经常在傲慢中迷失。 在区块链融资报告方面,也有数据问题.
1900/1/1 0:00:00密码学签名是区块链的关键技术之一,可以在不暴露私钥的前提下证明地址的所有权。该技术主要用来签署交易。本文会讲解数字签名技术在以太坊协议中的用法。免责声明:密码学很难.
1900/1/1 0:00:002019年10月24日,中共中央局就区块链技术发展现状和趋势进行第十八次集体学习,指出要把区块链作为核心技术自主创新的重要突破口.
1900/1/1 0:00:00